TLDR;
Jede Website wird jeden Tag angegriffen. Zuerst automatisiert, dann manuell. Es ist einfach sich zu schützen. Und noch besser ist es, ein aktuelles Backup zu haben.
Der Bericht über die Zugriffsstatistiken für eine Website ist die eine Seite der Medallie: Toll, wieviele Besucher wir hatten, und welchen Weg sie auf unserer Website genommen haben. Viele sind genau dort hin convergiert, wo wir sie haben wollten: KAUFEN, ANFRAGEN.
Dieser Bericht über Angriffe auf eine Website zeigt die andere Seite: Wieviel Hacker haben probiert, diese Website zu hacken.
Angriffsvariante 1: Brute force
Benutzernamen und einfache Passwörter:
Für den Benutzernamen “admin” haben sie es 1147 mal probiert, mit verschiedenen Passwörtern.
Den Benutzernamen “admin” gibt es auf unserer Website nicht. So einfach machen wir es den Hackern nicht.
Ausserdem blockt unsere Firewall schon nach ein paar Login-Versuchen den Zugriff, und erlaubt ihn erst nach ein paar Minuten wieder. Permanente Login-Versuche, um das Passwort zu erraten, sind so nicht möglich.
Aber selbst wenn sie das Passwort erraten würden, in ihren 1147 Login-Versuchen, dann hätten sie keinen Erfolg, weil unsere Benutzer zusätzlich durch 2FA abgesichert sind.
2FA, das ist so wie die TAN, die man im Online-Banking eingeben muss, wenn man was überweisen will. Es genügt nicht, Benutzername und Passwort zu kennen, es braucht auch die TAN. Die TAN ist der zweite Faktor zum Passwort, deshalb heißt es “2FA”: Zwei Faktor Authentifizierung.
Alle Benutzernamen, die die Hacker ausprobiert haben:
Angriffsvariante 2: Schläfer/DDOS
Es gibt auch Angriffe, die nicht erkannt werden. Das sind die schlimmsten.
Ein fiktives Beispiel:
Unsere Website, genauer: der Webserver auf dem diese Website liegt, könnte nach einem erfolgreichen Angriff auch verwendet werden, um
- elektronische Wahllokale in den USA anzugreifen
- um Unternehmen, Universitäten anzugreifen
Das nennt man dan DDOS-Attack. DOS steht für Denial Of Service. Die Website des Unternehmens, des Wahllokals, der Universität wird dann andauernd aufgerufen, von vielen verschiedenen gehackten Websites, PCs, Tablets, Handies. Und dann geht der Webserver in die Knie.
Das ist so, wie wenn ein Stalker euch alle 10 Sekunden auf dem Telefon anruft und ihr euch zum Schluss nicht mehr anders zu helfen wisst, als das Telefon auszustecken. Dann könnt ihr selber nicht mehr telefonieren und euch kann keiner mehr erreichen. Das ist DOS – Denial of Service.
Sicherheitslücken entstehen bei Websites wenn man keine Updates mache. Das gleiche gilt für euren PC, euer Tablet, euer Handy. Deshalb gönnt euch die Updates für eure Software. Der Staatstroyaner ist sowieso schon drauf. Es gibt nichts, was man dagegen tun kann. Also macht die Updates.